12 signs the CISO-CIO relationship is broken — and steps to fix it
尽管安全与IT部门之间需要协作,但首席信息安全官与首席信息官之间的关系并非总是融洽。
这并非仅仅是新任CISO在摸索定位的问题。Gartner研究发现,虽然经验不足两年的CISO中约有三分之一报告在关键安全领域与CIO存在冲突,但在拥有五年或以上经验的CISO中,有一半报告在大多数相同领域存在冲突,包括提升组织的网络韧性、协商企业网络风险偏好等。
Gartner网络安全研究团队的副总裁兼内容负责人Christine Lee表示,冲突可能是CIO-CISO关系破裂的迹象,但并非总是如此。
事实上,根据研究人员、经验丰富的高管以及高管顾问的说法,其他迹象可能更能表明CIO和CISO没有协调一致地工作。
麻烦的迹象
安全领导者和顾问向CISO们指出了以下迹象,表明他们与CIO同事的关系可能存在需要解决的问题:
-
CIO经常无视或推翻CISO的建议和决策。科技公司Transcend的常驻CISO、联合健康集团前CISO Aimee Cardwell表示,这种情况通常表现为CIO说:“谢谢你的意见,但我们还是要按我们想要的方式去做。”
-
CIO和CISO无法解决冲突。冲突对于推动组织前进可以是健康的。观点和意见的多样性可以为高管提供新的可能性和妥协的机会,从而有利于组织整体。 但是,如果CIO和CISO无法在不将分歧升级给更高级别高管的情况下解决分歧,那么一个根本性问题可能正在生根发芽。“你们是并肩作战还是针锋相对?如果是针锋相对,那就说明存在错位,”Cardwell说。 Gartner研究指出,87%的经验丰富的CISO将他们在解决冲突方面与CIO的关系描述为“良好”或“优秀”。Gartner的Lee表示,这个数字表明冲突本身并不意味着关系有问题。相反,“无法取得进展或达成一致,才是CIO-CISO关系破裂的迹象,”她说。
-
CIO不分享信息。“这是一个巨大的危险信号,”Transcend的Cardwell说。
-
CIO篡改或阻挠CISO向董事会传递的信息。CISO不能定期直接向董事会汇报已经够成问题,但Cardwell说,当CIO更改CISO认为董事会需要了解的信息时,情况就更令人担忧了。 “这超出了‘你可以换个更好的说法’或‘你可以讲一个更好的故事’之类的建议。这不仅仅是CIO在指导。这是在削减需要被重视的事实,或是做出可能给作为CISO的你带来真正道德问题的改动,”她解释道。
-
CIO在其他方面损害CISO在董事会和其他高管面前的议程。“如果CIO积极破坏CISO的可信度和观点,如果CIO介入了CISO与董事会和执行团队之间的每一次对话,那可不是好兆头,”Lee说。 这方面的问题还包括CIO未能在重要会议和组织整体的IT战略中倡导CISO的优先事项。
-
涉及IT的业务计划未咨询CISO。任何IT计划的真正伙伴关系都应是从第一步开始就由CIO和CISO共同合作。但如果CISO在流程后期才得知重要的技术计划,或者只有通过提出探究性问题才得知,那么是时候重置这种关系了。 “如果有人提到一个新项目、新供应商或迁移计划,而CISO对此一无所知,那就是一个问题,因为你是在事后才把安全‘拴’上去,”软件公司RegScale的CISO Dale Hoak说。“在良好的关系中,没有意外,因为你们在进行持续的对话,并且共享仪表板。”
-
没有一对一的对话。LevelBlue的CIO Maria Cardow表示,仅通过电子邮件、小组会议或在CIO和CISO下属之间(假设信息会向上传递)分享信息的CIO和CISO之间没有健康的融洽关系。 “我们面前的信息太多了,不能不直接沟通;定期的和临时的对话是无可替代的,”她说。
-
CIO和CISO不了解彼此的优先事项、挑战、策略等。“作为CIO,我应该清楚了解我的CISO关心什么,CISO也应该知道我这边的情况,”Cardow说。
-
CISO和CIO在谁应该做什么工作上发生冲突。一个类似的麻烦迹象是,一方在双方负有共同责任的领域出现不足时指责另一方。
-
一方购买了另一方已具备功能的技术。这种关系问题的迹象是双向的,但一个相关的问题是,CIO规定CISO必须购买的产品或CISO必须使用的供应商或服务提供商。 “在某些情况下,这些对安全来说可能是正确的答案,但在某些情况下可能不是,”安永美洲网络安全能力负责人Ayan Roy说。“但仅仅被告知意味着没有进行正确的分析。CIO应该给CISO选择正确解决方案的自由度;CISO需要能够进行评估并做出正确的选择。”
-
CIO不优先考虑网络卫生。这里最常见的表现之一是未能或放弃修补安全团队已识别并优先考虑进行修复的漏洞。
-
技术产品经常发布时带有安全缺陷或控制漏洞。全球支付和外汇公司Convera的CISO Sara Madden说:“那么问题就变成了,‘为什么我们在产品设计生命周期中没有发现这个问题’,答案通常是IT和安全之间协作不力。”
CIO-CISO关系的重要性
咨询公司Apogee Global RMS的创始人兼首席顾问、前Google Cloud CISO办公室总监MK Palmore表示,CIO和CISO需要建立牢固的关系,双方才能取得成功。 “这两个职位的人员相处融洽至关重要,他们不仅要关系友好,还要相互协作,”他说。是的,他们各自有自己的领域和一套任务与目标,但现实是,如果没有对方,任何一方都无法完成工作。“所以他们必须相互依赖,并且都必须认识到彼此必须相互依赖。” 此外,不仅仅是CIO和CISO在彼此不友好、不协作时会受损。Palmore和其他专家表示,不良的CIO-CISO关系也会对他们的部门以及整个组织产生负面影响。 “紧张的CIO-CISO关系通常表现为目标、优先事项甚至沟通上的错位,”Booking.com的首席安全官Marnie Wilking说。“当技术和安全领导者步调不一致时,就会在运营和结果中显现出来,从错过项目截止日期到漏洞增加。” 多种因素可能导致关系紧张。 首先,安全部门有时仍然被视为——并且表现得像——“拒绝”部门,Cardwell说。“CIO从来没有说‘不’的奢侈。CIO的工作是支持业务想要做的事情。所以CISO也需要有这种心态:‘业务想要做这件事,而我的工作是弄清楚如何使其成为可能,’”她解释道。 即使安全部门表现得不像“拒绝”部门,Cardwell说,CISO也可能花了太长时间才给出“可以”的答复。 “根据问题是什么,有一百种方法可以快速解决问题,”她说。“作为CISO,我喜欢提供几种具有不同价格点和时间线的解决方案,列出利弊和安全评分,从最快上线但安全性最低,到按此时间线最安全,给CIO和业务提供选择。”
关系不佳的另一个原因:有时CIO没有对安全给予足够高的优先级。“也许CISO只考虑安全,而不像业务推动者那样思考;或者也许CIO完全没有安全意识,只专注于业务支持,”Palmore说。 在其他情况下,CIO希望对所有IT事务进行严格控制,并将安全排除在外——或者反之亦然。“一些安全领导者认为他们独自拥有安全,结果发现自己身处孤岛,没有回家的船,”托管安全服务提供商LevelBlue的首席安全与信任官Kory Daniels说。 专家表示,导致CIO-CISO关系不佳的其他因素更具结构性。 可能是组织没有明确界定每个职位的职责。“当角色和职责没有明确定义时,责任的重叠或缺口会制造不必要的风险,”Wilking说。 或者,可能是组织的资金分配流程使他们成为“争夺同一笔资金的对手”,Cardow说。 这些问题大多源于Wilking所说的“缺乏对企业风险的共同背景认知和一致看法”。 “CIO通常以正常运行时间、可扩展性和敏捷性为衡量标准,而CISO则专注于保护数据、确保合规性和减轻威胁。如果没有对这些优先事项如何交叉的统一看法,两者可能显得相互矛盾,”她解释道。“网络安全常常被视为守门员,而非真正的合作伙伴。团队合作最终感觉是交易性的,而非协作性的。在Booking.com,我们强调从一开始就将网络安全嵌入业务战略,确保其成为关于产品设计、数据和客户信任的每一次对话的一部分。”
如何改善不良关系
CIO和CISO都有动力去改善有问题的关系。 正如Lee所解释的:“CIO-CISO关系至关重要。他们必须有效合作,以实现组织的技术和网络安全目标。所有技术都伴随着网络安全风险,可能影响技术的成功实施和业务成果;这就是为什么CIO必须关心网络安全。而CISO必须明白,网络安全的存在是为了实现业务成果。所以他们必须共同努力,实现彼此的优先事项。” CISO可以采取措施与他们的CIO建立更好的融洽关系,利用当今正在发生的颠覆——无论是来自人工智能还是经济的不确定性——作为检查、重置关系并解决任何阻碍协作的问题的机会。 CISO可以采取的步骤包括:
- 与CIO、C级高管以及董事会成员就组织的风险立场建立共识。
- 确保安全与组织的战略及其IT路线图保持一致。Transcend的Cardwell说,CISO必须这样想:“CIO这里有一个很棒的计划。我想找到如何使其安全的方法。”
- 明确CIO和CISO的职责。“你需要清楚界限在哪里,”LevelBlue的Daniels说。
- 将定期和临时的直接沟通作为优先事项。
- 专注于关系管理。“沟通,愿意会面,让团队会面,建立信任,”Daniels说。
- 寻求理解CIO的优先事项、激励因素和挑战,并分享你自己的。“找到一种方式,设身处地为对方着想,”Daniels补充道。
- 转向业务推动者的思维模式。“不要先说‘不’,而是先说‘我们如何安全地实现目标,’”RegScale的CISO Hoak说。